Средства обнаружения атак являются, своего рода, сетевыми полицейскими. Такие системы обнаружения вторжений постоянно мониторят систему и предотвращают возможные атаки на сервер. Настоятельно рекомендуется использовать их, чтобы предотвратить «падение» Интернет ресурсов в результате действий злоумышленников.
Что такое IPS/IDS
Это расшифровывается, как intrusion prevention system и intrusion detection system. Обе системы работают вместе, так как одна из них отслеживает вторжения, а вторая отвечает за их предотвращение.
Важно. Эти системы, в отличие от современных антивирусов и файерволов обеспечивают более высокий уровень защиты серверов от несанкционированных действий третьих лиц.
Архитектура и технология IDS
Принцип работы IDS базируется на выполнении анализа трафика и обязательно требует участия администратора для дальнейшей обработки информации.
IDS система обнаружения вторжений делится по принципу действия и по месту установки. Стоит подробнее рассмотреть, чем они отличаются друг от друга.
Виды IDS по месту установки
К ним относятся защиты, которые работают на уровне хоста (требуется прописать, для какого именно хоста будет осуществляться защита) и на уровне сети в целом.
Сетевые системы обнаружения вторжения (NIDS)
Современные технологии позволяют установить NIDS в основных стратегических точках сети, чтобы анализировать входящий и исходящий трафик на постоянной основе и предотвратить нежелательные действия.
Важно. Отличительная особенность данного способа защиты заключается в глубоком просмотре данных. То есть, система проникает в каждый пакет, что позволяет обнаружить не только внешнюю, но и внутреннюю угрозу.
Единственным существенным недостатком использования этой технологии является то, что система обнаружения атак ресурсоемкая. Чем больше трафика проходит через сеть, тем больше RAM и CPU потребуется. Как результат, если не хватает ресурсов, снижается пропускная система сети, что негативно может сказаться на скорости работы. Иногда администраторы вручную увеличивают пропускную способность, но это делает сеть уязвимее.
Хостовая система обнаружения вторжений (HIDS)
В данном случае обеспечивается защита только определенного хоста. Это актуально для анализа и внутренних, и внешних пакетов. Такой подход целесообразен для определенных устройств, которые считаются наиболее важными, и конфигурация которых практически никогда не меняется.
Другие разновидности IDS по месту установки
Еще существуют следующие виды IDS:
- PIDS. Они находятся непосредственно на границах сети и подают сигнал, если возникает подозрительная ситуация.
- VMIDS. Эта система работает на основе технологии виртуализации. То есть, можно развернуть защиту не на физических серверах, а на виртуальном устройстве.
Каждый может выбрать подходящую систему, исходя из текущих потребностей бизнеса.
Виды IDS по принципу действия
Работа всех систем проводится по определенному алгоритму:
- Развертывание в основных стратегических пунктах.
- Выполнение анализа трафика.
- Подача сигнала о возникновении опасности.
Однако существует три разных способа анализа: сигнатурный, основанный на аномалиях, основанный на определенных правилах, которые были заданы администратором сети во время развертывания IDS. Стоит рассмотреть их подробнее.
Сигнатурные IDS
Данная IDS работает практически так же, как любой антивирус. То есть, поступающий трафик анализируется в соответствии с имеющимися базами. Ее требуется постоянно обновлять, чтобы добиться высокого уровня защиты.
Важно. Если по каким-то причинам отсутствует доступ к базе, то во время прохождения трафика не происходит анализ. То есть, сеть находится в потенциальной опасности. При использовании нового типа атаки, который не занесен в базу, трафик будет пропускаться.
Если атака пройдет успешно, то сеть будет скомпрометирована. Любое действие будет вызывать все большее заражение. Не исключено, что среда будет частично или полностью изменена.
Сигнатурная IDS работает в соответствии с шаблонами и способна обеспечить высокий уровень безопасности. Однако в ряде случаев будет бесполезной.
IDS, основанные на аномалиях
Такие IDS работают с использованием искусственного интеллекта, машина постоянно обучается. Система знает, что является обычным состоянием и пытается оценить аномалии. Для нормальной работы требуется предварительный период для анализа “стандартного” состояния.
Чаще всего в течение первых нескольких месяцев совсем отключаются сигналы тревоги для обучения IDS.
Есть 3 вида аномалий:
- статистические – сравнение текущей ситуации с аналогичным периодом в прошлом;
- протокола – составляются протокольные профили, поэтому при изменении порта для передачи информации система экранирования проинформирует об этом;
- трафика – возможность анализировать входящий и исходящий трафик, чтобы предотвратить DoS и DDoS атаку.
Рекомендуется использовать все три способа защиты сети, но устанавливать их на различные ее участки.
Open Source проекты и некоторые вендоры на рынке IDS
Наиболее известным проектом считается Snort. Эту систему создали еще в 1998 году, долгое время она была независимой, однако в 2008 году ее приобрела компания CISCO. Данный продукт является оптимальным для небольших компаний, но не способен справиться с большим потоком информации.
Еще один софт – Suricata. Он был создан в 2010 году и поддерживает те же базы, что и Snort. Отличительной особенностью этой системы является тот факт, что она пишется с использованием современного кода. Legacy практически отсутствует.
McAfee Network Security. Отличная и очень мощная система. Хороший вариант для крупных корпораций. Основной ее недостаток заключается в высокой стоимости лицензии и обслуживания. Из-за больших требований к железу нередко замедляется работа сети.
Zeek (Bro) – это полностью бесплатная программа с открытым исходным кодом. Подходит опытным программистам, так как тут мало уделяется внимания web-интерфейсу. Больше делается упор на функционал.
Дальнейшее развитие IDS
Это новая эра в сетевой защите, которая пришла на смену антивирусов и брандмауэров. Таким образом, IDS будет активно развиваться и дальше. У этой системы защиты большой потенциал, который позволит сделать работу внутри сети и в Интернете безопаснее.
UTM — Unified Threat Management
Речь идет о пакете программ, которые предлагают различные виды сетевой защиты. Они бывают аппаратными или программными. Обычно в пакет входят IDS, IPS, файервол, антивирус, proxy, VPN и другие продукты.
Основной недостаток – UTM – это единственная точка защиты. Она действительно хорошо защищена, но в случае успеха злоумышленника, он получает полный доступ к сети.
Где развернуть защиту?
На самом деле, все зависит от выбранной сети. Например, NGFW можно устанавливать в любом месте сетевой инфраструктуры, но PIDS нецелесообразно устанавливать перед файерволом с внешней стороны сети. Это лучше разместить за ним с внутренней стороны. Это позволит снизить нагрузку, так как межсетевой экран будет анализировать только тот трафик, который был пропущен файерволом.
Установка IDS нужна на внешней и внутренней границе сети, то есть вокруг файервола. Это позволит защититься от создания карты внутренней сети злоумышленниками. Подобная схема существенно снизит вероятность ложного срабатывания IDS.
Также IDS можно ставить и внутри локальной сети, чтобы отслеживать подозрительную активность.
Как настроить комплексную защиту?
Очень сложно сделать выбор в пользу того или иного продукта. Для экономии средств и получения оптимального уровня защиты настоятельно рекомендуется применять комплексные продукты.
Грамотное построение системы защиты, которая будет предусматривать мониторинг внешнего и внутреннего трафика, позволит предотвратить атаки и своевременно распознать угрозы.